07.05.2019

Betriebsrat als datenschutzrechtlicher „eigener“ Verantwortlicher iSd Art. 4 Nr. 7 DSGVO?

Portrait von Detlef Grimm
Detlef Grimm

Unsicher ist, ob Betriebsräte nach Inkrafttreten der DSGVO zum 25.05.2018 nun datenschutzrechtlich selbst "Verantwortlicher" oder weiterhin Teil der datenverarbeitenden Stelle "Arbeitgeber" sind. Das LAG Sachsen-Anhalt bejaht in seinem Beschluss vom 18.12.2018 – 4 TaBV 19/17 die Qualifikation des Betriebsrats als verantwortliche Stelle. Dagegen hatten sich in jüngerer Rechtsprechung das LAG Niedersachsen im Beschluss vom 22.10.2018 – 12 TaBV 23/18 (Rn. 27) sowie das LAG Hessen im Beschluss vom 10.12.2018 – 16 TaBV 130/18 (Rn. 32) ausgesprochen.

Alle drei Entscheidungen beschäftigten sich mit dem Umfang von Auskunfts- und Unterrichtungsansprüchen von Betriebsräten nach § 80 Abs. 2 Satz 1 BetrVG. Während die beiden Entscheidungen des LAG Niedersachsen und des LAG Hessen in Übereinstimmung mit der bisherigen Rspr. des BAG und der wohl h.M. der Literatur auch unter Geltung der DSGVO den Betriebsrat weiterhin als Teil der verantwortlichen Stelle Arbeitgeber iSv Art. 4 Nr. 7 DSGVO ansahen, ist das LAG Sachsen-Anhalt der Auffassung, dass der Betriebsrat selbst Verantwortlicher iSd Art. 4 Nr. 7 DSGVO sei, da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheide. Er sei „andere Stelle“ im Sinne der Norm (so die Ausführungen Rn. 37 des Beschlusses). Damit sieht sich das LAG in Übereinstimmung mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der dies in seinem Tätigkeitsbericht 2018, S. 37 f. näher begründet hat.

Folge ist, dass Betriebsräte dann für Datenschutzverstöße haften müssten. Auf Seite 38 des o.g. Tätigkeitsberichts findet sich auch ein interessanter Hinweis zur persönlichen Haftung des handelnden Betriebsratsmitglieds (nicht des Betriebsrats als Organ, siehe BGH v. 25.10.2012 - III ZR 266/11). Um das zu vermeiden, bedürfte es einer eigenen datenschutzrechtlichen Organisation. Umgekehrt: Wenn Betriebsräte wie bisher Teil des Arbeitgebers wären, dann müsste dieser für Datenschutzverstöße haften, ohne dass er Einfluss auf die Datenverarbeitung durch den Betriebsrat hätte, denn dieser steuert die Datenverarbeitung und kontrolliert sich datenschutzrechtlich selbst  (BAG v. 11.11.1997 – 1 ABR 21/97).

Da zwischen den Betriebsparteien Einzelheiten der Einsichtnahme des Betriebsrats in Brutto- und Gehaltslisten strittig waren, hat der Arbeitgeber Rechtsbeschwerde unter dem Az. BAG 1 ABR 15/19 eingelegt. Möglicherweise wird sich das BAG damit mit der Frage der Qualifikation des Betriebsrats als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO beschäftigen. Im Interesse von mehr Klarheit für die Praxis wäre dies zu wünschen.

Nachtrag: Herr Mühlböck, externer Datenschutzbeauftragter in Österreich, hat mich dankenswerterweise auf ein sehr instruktives Papier der Arbeiterkammer Wien und des Österreichischen Gewerkschaftsbundes zum Datenschutz im Betriebsrat ("Betriebsratsarbeit im Zeichen der EU Datenschutz-Grundverordnung") hingewiesen. M.E. stellt dieses Papier eine sehr gute Handreichung für die Betriebsrats-Praxis dar, unabhängig von dem oben dargestellten Meinungsstreit.

 

Zurück